INTEGRACIONES NATIVAS

Monitoreo de Sangfor con Log360

Resumen general

ManageEngine Log360 ofrece una solución completa para recopilar, analizar y generar informes sobre los logs generados por los dispositivos de seguridad y de red de Sangfor, como los firewalls de nueva generación (NGFW), los firewalls de aplicaciones web (WAF) y otros productos de seguridad.

Al centralizar los datos de log de los dispositivos Sangfor, Log360 proporciona una profunda visibilidad de los eventos de seguridad de la red, las actividades de los usuarios y las amenazas potenciales, lo que permite a los equipos de seguridad defenderse de forma proactiva contra los ataques cibernéticos y garantizar el cumplimiento de las distintas normativas.

Cómo recopila y analiza Log360 los logs de Sangfor

Log360 recopila los logs de los dispositivos Sangfor utilizando principalmente el protocolo syslog estándar.

  • Recopilación de logs: Log360 recopila los logs de los dispositivos Sangfor utilizando el protocolo syslog estándar.
  • Reenvío de logs: Los dispositivos Sangfor pueden configurarse para reenviar sus mensajes syslog directamente al servidor Log360.
  • Análisis sintáctico de logs: El potente motor de análisis sintáctico de Log360 utiliza reglas predefinidas para extraer detalles clave de los logs de Sangfor.
  • Detalles extraídos: La información clave extraída incluye:
    • Direcciones IP de origen y destino
    • Números de puerto
    • Aciertos en la política de seguridad
    • Amenazas detectadas
    • Cuentas de usuario
    • Uso de la aplicación
    • Niveles de gravedad
  • Enriquecimiento y análisis de los datos: Los datos extraídos se:
    • Normalizan y mejoran con información contextual (inteligencia contra amenazas, geolocalización, identidad del usuario).
    • Estructuran en informes categorizados y dashboards para un análisis agilizado.
  • Flexibilidad: Log360 también es compatible con el análisis sintáctico personalizado de logs, por lo que puede ingerir y analizar cualquier formato de log legible por humanos procedente de dispositivos Sangfor.

Funciones de monitoreo y análisis

Una vez que se ingieren los logs de Sangfor, Log360 ofrece las siguientes funciones de monitoreo y análisis:

  • Detección de amenazas en tiempo real: Monitorea anomalías e incidentes de seguridad reportados por los dispositivos Sangfor, como tráfico malicioso, intentos de intrusión, detección de malware y ataques web (por ejemplo, inyección SQL), activando alertas.
  • Análisis del comportamiento de usuarios y entidades (UEBA): Analiza los logs de actividad de los usuarios de los dispositivos Sangfor para detectar patrones de inicio de sesión sospechosos, intentos de acceso no autorizados y otros comportamientos anómalos que podrían indicar cuentas comprometidas o amenazas internas.
  • Rendimiento y salud de la red: Monitorea los eventos a nivel de sistema, la utilización de recursos (CPU, memoria) y el estado operativo de los dispositivos Sangfor, ayudando a identificar cuellos de botella en el rendimiento o posibles problemas de hardware.
  • Uso y control de aplicaciones: Proporciona visibilidad sobre qué aplicaciones se están utilizando en la red y por quién, según lo detectado y controlado por Sangfor NGAF, ayudando a aplicar las políticas a nivel de aplicación.
  • Integración de inteligencia contra amenazas: Correlaciona los eventos de seguridad de Sangfor con fuentes globales de inteligencia contra amenazas para identificar IP, URL y patrones de ataque maliciosos conocidos, mejorando la precisión de la detección de amenazas.

Eventos críticos de Sangfor monitoreados

  • Violaciones de las políticas de seguridad: Recopila los logs cuando el tráfico se bloquea o se permite en función de las reglas del firewall, identificando las fuentes, los destinos y las aplicaciones involucradas.
  • Detecciones del sistema de prevención de intrusiones (IPS): Monitorea las alertas del IPS de Sangfor, detallando las firmas de ataque detectadas, los hosts afectados y los niveles de gravedad.
  • Detecciones antimalware: Registra los casos de malware, virus y ransomware detectados por los motores de seguridad de Sangfor (por ejemplo, Engine Zero), incluyendo nombres de archivos, tipos y acciones de cuarentena.
  • Firewall de ataque web (WAF): Registra los eventos relacionados con ataques a aplicaciones web, como inyección SQL, scripting entre sitios y detecciones antimalware a servidores web protegidos por Sangfor WAF.
  • Actividad de VPN y acceso remoto: Controla las conexiones VPN, los inicios y cierres de sesión de los usuarios y los volúmenes de transferencia de datos a través de los gateways VPN de Sangfor.
  • Filtrado de URL y bloqueo de contenidos: Informes sobre los sitios web a los que se ha accedido, las categorías bloqueadas y los intentos de los usuarios de eludir los filtros de contenidos, garantizando el cumplimiento de las políticas de uso aceptable (creado como informe personalizado).
  • Salud del sistema y del dispositivo: Registra reinicios, actualizaciones de firmware, advertencias de hardware y otros eventos operativos que afectan a la estabilidad y disponibilidad del dispositivo Sangfor.
  • Cambios de configuración: Audita el acceso administrativo y las modificaciones de configuración realizadas en los dispositivos Sangfor, proporcionando un rastro de "quién hizo qué, cuándo y desde dónde".

Principales ventajas

  • Visibilidad de seguridad centralizada: Agrega y analiza los logs de todos los productos de seguridad de Sangfor como Sangfor NGAF y Sangfor IAM dentro de una consola SIEM unificada, ofreciendo una visión integral de la postura de seguridad de su red.
  • Detección proactiva de amenazas: Detecta y alerta sobre amenazas emergentes y ataques sofisticados identificados por los dispositivos Sangfor en tiempo real, lo que permite una rápida respuesta ante incidentes.
  • Cumplimiento y auditoría simplificados: Genera informes out-of-the-box y personalizables para diversos mandatos de cumplimiento (por ejemplo, el GDPR, HIPAA, el PCI DSS) basados en los logs de seguridad de Sangfor, facilitando la preparación para auditorías.
  • Respuesta a incidentes mejorada: Proporciona información contextual enriquecida y funciones de correlación para acelerar la investigación de incidentes de seguridad originados o relacionados con dispositivos Sangfor.
  • Mejora de la eficiencia operativa: Automatiza la recopilación, el análisis sintáctico y el análisis de los logs, reduciendo el esfuerzo manual necesario para el monitoreo de los dispositivos Sangfor y liberando a los analistas de seguridad para tareas más estratégicas.
  • Postura de seguridad optimizada: Ayuda a identificar errores de configuración, brechas en las políticas y áreas de vulnerabilidad dentro de su implementación de Sangfor, proporcionando una información analítica profunda del comportamiento de los dispositivos y los patrones de tráfico.

Abordar los principales retos de seguridad de Sangfor

RetosCómo lo aborda Log360
Volumen abrumador de logs de varios dispositivos Sangfor (NGFW, WAF, etc.)Centraliza, analiza sintácticamente y normaliza los logs de todos los productos Sangfor, haciéndolos localizables y analizables desde una única consola.
Dificultad para correlacionar los eventos de seguridad entre los diferentes productos Sangfor para identificar ataques complejosEmplea un potente motor de correlación con reglas predefinidas y personalizadas para vincular eventos aparentemente dispares de Sangfor y otras fuentes, detectando ataques en varias fases.
Falta de alertas en tiempo real para incidentes críticos de seguridad detectados por los dispositivos SangforProporciona alertas instantáneas y personalizables por correo electrónico, SMS o sistemas de tickets para eventos como detecciones de malware, ataques IPS, violaciones de WAF e intentos de acceso no autorizados.
Retos a la hora de demostrar el cumplimiento de los requisitos reglamentarios utilizando los logs de SangforOfrece informes de cumplimiento listos para usar para las principales normativas (por ejemplo, el PCI DSS, la HIPAA, el GDPR) basados en los eventos de seguridad de Sangfor, lo que facilita la recopilación de evidencia de auditoría.
Visibilidad limitada de las actividades de los usuarios y de las posibles amenazas internas a través de los dispositivos SangforUtiliza UEBA para analizar el comportamiento de los usuarios en la red registrado por los dispositivos Sangfor, identificando anomalías y accesos privilegiados sospechosos.
Esfuerzo manual involucrado en las investigaciones forenses de incidentes de seguridad originados en dispositivos Sangfor.Permite la búsqueda rápida y detallada y el análisis forense de los logs sin procesar de Sangfor, proporcionando líneas temporales detalladas e información contextual para la investigación de incidentes.

Iniciar

Sus estaciones de trabajo Windows son la primera línea: ¿su monitoreo está listo para la batalla?

Vaya más allá del registro básico de eventos. ManageEngine Log360 le proporciona inteligencia en tiempo real desde cada endpoint, registrando las actividades de los usuarios, lanzamientos de aplicaciones, cambios de archivos y conexiones de red que las herramientas tradicionales pasan por alto.

Explorar ManageEngine Log360  
Detalles
  • Categoría Vulnerability scanner
Soporte

 support@log360.com

 Obtenga asistencia técnica

Recursos pertinentes

 Reports for Sangfor

 Configuring Sangfor

Hable con nuestros expertos en seguridad

¿Tiene alguna pregunta sobre las funciones de integración de Log360 o necesita orientación técnica?

 
 
 
»

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Solución integral para la gestión de registros y la auditoría de Active Directory
Productos relacionados